* STRIDEでは、改ざんはデータまたはコード/成果物の不正な変更を指す脅威カテゴリです。トロイの木馬化されたコンテナイメージとは、定義上、攻撃者がCI/ビルドシステムを侵害した後にビルド出力（イメージ）を変更すること、つまりソフトウェアサプライチェーン内の成果物を改ざんすることです。
* 他の人はなぜダメなのですか?
* スプーフィングは、アイデンティティ/認証に関するものです（例：誰か/何かのふりをすること）。
* 否認とは、十分な監査証拠なしにアクションを実行したことを否定することです。
* サービス拒否は可用性をターゲットにします (リソースを使い果たすか、サービスを利用できなくする)。シナリオは、侵害されたビルド サーバーによって変更されたイメージに明確に焦点を当てており、これは改ざんに正確に対応します。
権威ある参考文献（検証およびより深い読書のため）:
* Kubernetes (公式ドキュメント) - サプライ チェーン セキュリティ (CI/CD パイプラインの侵害によってイメージが変更されたり汚染されたりするリスクについて説明し、イメージの整合性/署名の検証に重点を置いています)。
* Kubernetes ドキュメント#セキュリティ#サプライ チェーンのセキュリティとクラスターのセキュリティ保護(イメージの起源、署名、成果物の検証に関するセクション)。
* CNCF TAG Security - クラウドネイティブセキュリティホワイトペーパー（v2） - クラウドネイティブおよびソフトウェアサプライチェーンのリスクにおける脅威モデル化。CI経由でビルド出力（イメージ/成果物）を変更する攻撃者について説明します。
/CD の侵害を改ざんの一形態として扱い、制御 (署名、出所、ポリシー) を規定します。
* CNCF TAG セキュリティ - ソフトウェア サプライ チェーン セキュリティのベスト プラクティス - 悪意を持って変更されたイメージにつながる CI/CD の侵害を明示的にカバーし、SLSA、出所証明、および署名検証 (アドミッション コントロールによるポリシー適用) を推奨します。
* Microsoft STRIDE (標準参照) - 改ざんを、侵害されたビルド システムによって生成されたトロイの木馬化されたイメージに直接適合するデータまたはコードの変更と定義します。

* マネージドKubernetesサービス（EKS、GKE、AKS）では、コントロールプレーンはクラウドプロバイダーによって運用されます。
。
* これには、etcd、API サーバー、コントローラー マネージャー、スケジューラーが含まれます。
* ユーザーはワーカー ノード (一部のモデル) とワークロードを管理しますが、コントロール プレーンは管理しません。
* 正確な抜粋 (GKE ドキュメント):
* 「API サーバーや etcd データベースを含むコントロール プレーンは、Google によって管理および保守されています。」
* EKSandAKS の場合も同様に、etcd はプロバイダーによって完全に管理されます。
参考文献:
GKE アーキテクチャ: https://cloud.google.com/kubernetes-engine/docs/concepts/cluster-architecture EKS アーキテクチャ: https://docs.aws.amazon.com/eks/latest/userguide/eks-architecture.html AKS ドキュメント: https://learn.microsoft.com/en-us/azure/aks/concepts-clusters-workloads

* cluster-adminClusterRole は Kubernetes のスーパーユーザー ロールです。
* これをバインドすると (RoleBinding または ClusterRoleBinding 経由)、すべての名前空間にわたるクラスター内のすべてのリソースに対する無制限の制御が付与されます。
* これには、クラスター スコープのリソース (ノード、CRD、RBAC ルール) と名前空間スコープのリソースの管理が含まれます。
* したがって、cluster-admin は Kubernetes の root レベルのアクセスと同等であり、細心の注意を払って使用する必要があります。
参考文献:
Kubernetes ドキュメント - デフォルトのロールとロールバインディング
CNCF セキュリティ ホワイトペーパー - アイデンティティとアクセス管理: 制限のない性質のため、cluster-admin を広範囲に割り当てないように警告しています。

* NetworkPolicy は、Pod レベルでネットワーク トラフィックを制御します。
* イングレス ルール: Pod への着信接続を制御します。
* 出力ルール: Pod からの送信接続を制御します。
* 正確な抜粋 (Kubernetes ドキュメント - ネットワーク ポリシー):
* 「出力ルールは、ポリシーに一致するポッドからの送信接続を制御します。」
* 誤った回答を明確にする:
* A/B: 範囲が広すぎます (クラスター レベル)。ポリシーは Pod/Namespace ごとに適用されます。
* C: 不正アクセスに対するセキュリティは、出力ポリシーよりも広範囲にわたります。
参考文献:
Kubernetes ドキュメント - ネットワークポリシー: https://kubernetes.io/docs/concepts/services-networking/network-policies/

* MITRE ATT&CKは、攻撃者の戦術、手法、手順（TTP）に関する世界的に認められた知識ベースです。攻撃者が用いる攻撃行動の記述に重点を置いています。
* 誤ったオプション:
* (B)OWASP Top 10 は、攻撃者のテクニックではなく、一般的なアプリケーションの脆弱性に焦点を当てています。
* (C)CIS コントロールは、攻撃ツールではなく、防御のベスト プラクティスです。
* (D)NIST サイバーセキュリティ フレームワークは、敵対者の TTP ではなく、リスクベースの防御フレームワークを提供します。
参考文献:
MITRE ATT&CKフレームワーク
CNCF セキュリティ ホワイトペーパー - 脅威インテリジェンス セクション: 攻撃者の行動を説明するために MITRE ATT&CK を参照します。